Pesquisadores da Palo Alto Networks descobriram uma nova família de malware que tem como alvo tanto servidores Linux quanto Windows. Os pesquisadores acham que esse malware, chamado de Xbash, está sendo utilizado pelo Iron Group, um grupo conhecido por ataques de ransomware.
O Xbash possui recursos de ransomware e de mineração de moedas. Possui também recursos de autopropagação (significando que tem características parecidas com worm, semelhantes a WannaCry ou Petya / NotPetya). Para piorar, tem recursos ainda não implementados que podem permitir sua rápida propagação dentro da rede de uma organização, exatamente como o WannaCry ou o Petya / NotPetya.
O Xbash se espalha atacandoprincipalmente senhas fracas e vulnerabilidades não corrigidas. Ele destrói dados, inclusive bancos baseados em Linux. Infelimeznte não foi encontrada nele nenhuma funcionalidade que permita a restauração dos dados após o pagamento do resgate, ou seja, é um malware destrutivo que se apresenta como um ransomware.
Outros recursos do Xbash:
- Combina botnet, mineração de moedas, ransomware e autopropagação.
- Tem como alvo sistemas baseados em Linux para seus operar como ransomware e botnet
- Destina-se a sistemas baseados no Microsoft Windows para utilizar os recursos de mineração de moedas e autopropagação
- O componente de ransomware destrói bancos de dados baseados em Linux
Até o momento, foram localizadas 48 transações de entrada nas carteiras de bitcoins associadas ao malware, com receita total de 0,964 bitcoins. Isso significa que 48 vítimas pagaram aos bandidos cerca de US $ 6.000 até o momento. No entanto, não foi vista nenhuma evidência de que os resgates pagos resultaram em recuperação dos dados para as vítimas.
Outras novas e importantes características técnicas do Xbash:
- Desenvolvido em Python e depois convertido em executáveis Linux ELF independentes, abusando da ferramenta legítima PyInstaller para distribuição.
- Alvos – endereços IP e nomes de domínio: Malwares modernos do Linux, como o Mirai ou o Gafgyt, geralmente geram endereços IP aleatórios como destinos de varredura. Por outro lado, o Xbash busca, de seus servidores C2, endereços IP e nomes de domínio para análise e exploração de serviços.
- Windows e Linux: ao explorar serviços vulneráveis do Redis, o Xbash também descobrirá se o serviço está sendo executado no Windows ou não. Em caso afirmativo, ele enviará uma carga maliciosa de JavaScript ou VBScript para baixar e executar um coinminer para o Windows.
- Funcionalidade de Varredura da Intranet: os autores do Xbash desenvolveram a nova capacidade de varredura de servidores vulneráveis dentro da intranet corporativa.
- Há quatro versões diferentes do Xbash até agora. As diferenças de código e data e hora entre essas versões mostram que ainda está em desenvolvimento ativo.